I dispositivi collegati a Internet sono già presenti ovunque nello spazio dei consumatori, ma quando entrano nell'organizzazione e diventano IoT rappresentano una minaccia per la sicurezza delle reti aziendali. Il problema è, secondo Akamai, che proprio come con la shadow It, gli amministratori di rete non sono necessariamente consapevoli della presenza di dispositivi IoT.

Con smartphone come iPhone o un Samsung, i responsabili It conoscono bene la sicurezza che i dispositivi sono in grado di garantire e i protocolli di patch. Tuttavia, con un dispositivo IoT di un produttore minore ci possono essere dei problemi.

Se ne desume che i consumatori non sono presenti sul mercato solamente con dispositivi dispositivi che hanno un'eccellente livello di sicurezza ma anche con altri dove questo livello non è assicurato.

L'insicurezza del mondo IoT

Nel caso dei dispositivi IoT, molti sono insicuri per impostazione predefinita e non possiedono alcun meccanismo per auto-aggiornare con nuove patch. Pochissime persone aggiornano regolarmente il firmware nel loro frigorifero. Per questo ci sarebbe bisogno di interventi normativi che richiedano l'adozione di un insieme minimo di standard, tra cui la possibilità per il dispositivo di essere aggiornato automaticamente.

Nonostante i fornitori di sicurezza spingano da tempo sull’utilizzo intelligente delle password, un altro grosso problema che le aziende devono affrontare sono gli utenti che hanno ancora lo stesso nome utente e la stessa password su più account. Con un attacco DDoS gli aggressori in genere vogliono fare più rumore possibile sulla rete, ma quando si attaccano le credenziali l’obiettivo è opposto e si cerca di essere silenziosi.

Così si vedono circa dieci volte più Ip che DDoS che partecipano ad attacchi per fare il pieno di credenziali. Dal momento che gli elenchi aggregati delle credenziali degli utenti sono facilmente accessibili, è facile supporre che, a causa della scarsa igiene dell'utente finale, l'uso ripetuto delle stesse credenziali da un sito all'altro possa avere successo.

Si tratta di qualcosa che viene osservato spesso e anche se in alcuni luoghi è possibile introdurre tecnologie come l'autenticazione multifattore o i captcha, entrambe queste tecnologie hanno una penalità piuttosto significativa in termini di user experience e se si è nel commercio online dove la concorrenza è molto forte si cerca circa limitare il più possibile l’attrito degli utenti. Ma mentre le tecniche di credential stuffing non sono nuove, l’impressione è che stiano diventando sempre più predominanti in settori verticali come i siti web governativi.

Autenticazione multi-factor

Secondo gli esperti le minacce alla sicurezza dell'Internet of Thingsdi oggi rispecchieranno l'efficacia e la complessità delle minacce dei pc e delle workstation di un decennio fa. Ma dopo aver combattuto queste battaglie le aspettative e i piani di gioco di attacco e difesa (rispettivamente) possono almeno essere stimati e pianificati.

Per questo nel 2018 è possibile aspettarsi un'implementazione dell'autenticazione multifattoriale basata su hardware, attacchi ancora più sofisticati contro le reti di internet degli oggetti. Con la prevalenza di password deboli e il controllo dell'accesso ai dispositivi dell'IoT che portano a un numero crescente di attacchi, ci sarà uno spostamento verso la progettazione di sistemi che includano il recupero degli incidenti come requisito fondamentale della sicurezza di questi dispositivi.

I progettisti del prodotto inizieranno a porsi la domanda: "Quando questo dispositivo viene attaccato, come possiamo garantire che possa essere disabilitato per prevenire ulteriori danni e poi recuperato?" Aspettatevi l'emergere di requisiti di progettazione che richiedono l'implementazione di meccanismi di rotazione chiave al momento della produzione.

Hide and Seek e altri attacchi hanno dimostrato che gli exploit stanno diventando abbastanza complessi da attaccare un'ampia varietà di tipi di dispositivi in vari tipi di distribuzione, non più mirati a un prodotto o un ambiente specifico.

Di conseguenza, un singolo attacco può adattarsi per massimizzare il proprio carico utile e diffondersi più velocemente di quanto non sia possibile applicare in modo completo patch e aggiornamenti specifici di un dispositivo o di uno stack.